1。我為什麼要發這篇文章

原因一:面對越來越瘋狂的勒索病毒,我不能無動於衷;

自2016年開始勒索病毒出現到2017年wannacry肆意傳播,再到2020年WannaRen透過各大下載資源站傳播。勒索病毒越來越瘋狂了,給大家看一組數字。

中了勒索病毒怎麼辦---(教程貼持續更新)

原因二:網上沒有專業人士寫的詳細的教程貼;

各大搜索引擎任意搜尋下,好帖是有,但95%以上都是廣告貼和水貼,甚至一些誤人子弟,未經深思熟慮寫的帖子。病不在他們身上,真敢隨便開藥,治死不償命啊!總得有人補上這個空缺,各路大神都很忙,只有我還有時間碼字。

中了勒索病毒怎麼辦---(教程貼持續更新)

原因三:不想重複造輪子,方便別人的同時也方便自己

每天都會有不少朋友透過各種渠道找到我,諮詢關於勒索病毒的事情,對每個朋友我都要重複一遍基本的東西,而且還要表現得不厭其煩。其實內心已經接近崩潰,這重複得工作什麼時候是個頭。而寫完這個帖子就可以節省很多時間,想想就覺得刺激。

中了勒索病毒怎麼辦---(教程貼持續更新)

2。 中勒索病毒後的正確操作姿勢

中了勒索病毒怎麼辦---(教程貼持續更新)

中毒後正確的操作步驟整體概括如上圖。我們接下來詳細解說每一步

2.1 資料不重要

若屬於這種情況那麼恭喜你僥倖躲過一劫,

但別得意的太早,

因為如果你對安全時間不加以重視,那麼遲早有一天你的重要資料會被加密,這絕非危言聳聽。

2019年我親自處理過一個典型的案子。某集團企業郵件系統被駭客攻破,但僅僅造成一臺PC機中毒,IT部門抱著僥倖心理和大事化小的態度格式化重灌系統並集中修改了郵箱密碼,並未做其他任何安全防護工作。5個月後,整個集團20多臺伺服器被全部攻破資料加密。 如下圖

中了勒索病毒怎麼辦---(教程貼持續更新)

步驟1:找準中毒原因,修復薄弱環節,避免二次中毒。

我強烈建議企業找專業的安全團隊進行溯源分析。如果不想花費這個費用並且你自己具備鑽研精神,那就從以下幾個思路入手。

1。從各類網路裝置的日誌中查詢異常(防火牆日誌);

2。從伺服器作業系統安全日誌查詢異常;(windows安全日誌,下圖中日誌被駭客清空了)

3。從客戶端作業系統查詢異常;(客戶端異常登入日誌)

4:利用網路上免費的病毒溯源工具查詢異常。

時間允許的花我後續會專門寫一篇詳細溯源教程配合工具使用方法,

(——

勒索病毒溯源分析教程貼預留位置,如有安全大牛贊助此貼或者有現成的帖子請告知

-)

中了勒索病毒怎麼辦---(教程貼持續更新)

步驟2:格式化中毒的伺服器並重裝系統。強烈建議不要用GHOST版本系統安裝。

GHOST版本系統有非常多的系統漏洞和預裝軟體的後門。如果企業單位批次電腦,建議自己動手做一個乾淨的母盤進行安裝。個人電腦也建議用純淨版一步步安裝。

注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!

安全防護絕對不是買一套防火牆或者裝幾套防毒軟體就能解決問題的。

任意一個新的勒索病毒的變種就可以躲開幾乎所有的防毒軟體和防火牆。這也是為什麼各大廠商的防毒軟體和防火牆都在持續不斷的更新自己的病毒庫的原因,因為只有安全人員捕獲了病毒特徵才有機會識別並殺掉病毒。這意味著肯定得有一部分人要先中毒犧牲掉自己,才能引起各大殺軟和防火牆公司的注意。

2.2 資料重要但不緊急(這裡的不緊急是指可以等上1-3年)

步驟1。 透過PE模式或者安全模式進入伺服器,把重要的資料備份一遍(最好是全盤備份至一個空的行動硬碟)

為什麼一定要在安全模式或者PE模式下,因為部分勒索病毒加密資料後會在登錄檔中修改開機自啟動,如果你不在安全模式下或者PE模式下,那麼很有可能你插上行動硬碟後你的移動硬盤裡面的資料也會被加密。

為什麼最好是全盤備份,因為有些駭客的解密程式要用到你本地機器上勒索信的公鑰。如果這些檔案你備份的時候沒有備份完整,即使後續出來免費的解密程式你也無法解密。

步驟2。 和 步驟3 同上面的資料不重要

2.3 資料重要且緊急

步驟1:先斷網而不是先關機。

我們從大量勒索病毒案例中分析得出,勒索病毒的駭客攻擊的時間集中在晚上或者非工作日。因為晚上和非工作日不容易被發現,有充足的時間進行加密。當發現ERP伺服器中毒或者金蝶用友財務伺服器中勒索病毒之後,應該把中毒伺服器的網線斷開,如果是虛擬機器可以把網絡卡禁用,防止橫向擴充套件傳播。

不要著急關機的原因有兩個

原因1:中毒伺服器不關機,就有可能從記憶體DUMP中找到加密的私鑰(我們成功用此方法找到過過金鑰)這種方法找到私鑰的可能性不大,但至少是一種可能。

原因2:如果伺服器的資料量非常大,駭客加密程式正在加密過程中突然斷電,那麼會導致這個檔案加密不完整,徹底損壞掉。即使駭客也無法解密此類檔案。這個道理很容易理解,就好比你正在編輯一個EXCEL,如果沒有儲存直接斷電,很可能這個EXCEL再開啟就會亂碼。財務工作人員應該都遇到過這個問題。因為我修復過很多這種原因損壞的EXCEL。

步驟2:先備份中毒後的資料而不是先防毒

企業發現伺服器中毒之後往往是先裝各種防毒軟體防毒,

錯!!!錯!!!錯!!!

如果發現中毒後第一時間就進行防毒,反倒會破壞伺服器中毒後的最原始狀態,為後面的資料恢復和解密造成很多不便。

在防毒之前應該先做備份,如果中毒機器是虛擬機器,那麼就做一個克隆。如果中毒機器是物理機就先用一個空的行動硬碟進入安全模式或者PE模式將中毒機器中重要的資料先備份下。

步驟3: 確定勒索病毒家族並嘗試免費解密工具

確定中毒的是那種型別的勒索病毒才能找相應的解密工具,如何確定自己中的是那種勒索病毒有兩個比較快捷的方法,可以透過以下網站上傳檔案樣本進行查詢。

網站開啟之後的網站如下圖,按照我標記出來的上傳東西就可以

中了勒索病毒怎麼辦---(教程貼持續更新)

上面網站對於新的勒索病毒可能無法判斷,您可以把檔案打個壓縮包傳送給到我們的郵箱[email protected] 我們可以免費協助你做這個分析。

最全免費勒索病毒解密工具可以在以下幾個網站找到,

1:no moreransom 是一個國際的反勒索聯盟組織,裡面收集了很多免費的解密工具。例如很出名的GandCrab 5。2的解密程式就在這裡可以下到。

2: Emsisoft 是一家紐西蘭的防止惡意軟體的公司,他們也有自己研發的免費解密工具,但大多都是針對較早期病毒的。

3:卡巴斯基勒索病毒解密工具下載地址

如果嘗試自己的檔案是否能被免費解密程式完整解密,一定要把一小部分檔案複製到一臺無關緊要的電腦上做測試。確定可以解密之後再大批次解密,且不可在原始伺服器上進行解密測試,幾乎所有的解密程式都是需要對檔案進行寫入操作的,一旦操作錯誤可能會導致檔案徹底損壞。

步驟4:尋求專業第三方資料恢復公司技術支援修復資料

中了勒索病毒怎麼辦---(教程貼持續更新)

不知道是哪位專家給普及的常識“只要是被駭客加密的資料無人能解,除了駭客自己”

實際上如果想直接把非對稱加密的資料暴力破解掉,以現在的計算能力,幾乎是很難實現。關於非對稱加密這裡有詳細的解說,你看完也就知道為什麼專家們那麼下結論了

駭客用了這種方式加密,我們為什麼非要逼著自己逆向解密出來才算解密????難道只有這樣才能拿一百分?????才顯得牛XXX???

我們要的是資料,只要能把資料拿回來,只要是合法的方法都應該被採納。我就是用下面這些方法來解密勒索病毒的。

為什麼勒索病毒可以被除駭客外的第三方解密?原因如下圖

中了勒索病毒怎麼辦---(教程貼持續更新)

這是一個泛微OA用的SQL資料庫, 被5ss5c勒索病毒加密了。加密僅僅只是資料庫中的一部分資料而已,並非整個資料庫都會被加密,因為駭客在加密的過程中必須平衡加密的時間和加密的質量。如果全位元組加密必然耗費很長時間,那麼根本來不及加密大量資料就會被客戶發現,如果想快速加密必然無法全位元組加密。這就給了我們可以修復的方法。經過提表重建資料庫後的資料如下圖

中了勒索病毒怎麼辦---(教程貼持續更新)

是不是透過曲線救國的方式也實現瞭解密資料的目的?! 但 但 但是以上方法主要針對資料庫。

如果不是資料庫檔案,並且檔案大約100M 那麼也可以透過這種方式修復。但手工修起來很累也很貴。除了資料庫幾乎很少有檔案具備這麼大的價值。

1:如果被勒索加密的是資料庫型別檔案。 例如泛微OA,通達軟體,金蝶,用友,管家婆,醫院HIS系統等一般需要恢復的資料都為資料庫型別檔案。

例如:SQL 資料庫 ,ORACLE資料庫等等。都可以透過我上面說的修庫的方式進行勒索病毒解密。修復的最基本原理是透過資料庫提表並重建資料庫。

我透過這種方式修復過上千個數據庫。最大的中毒資料庫單檔案640G。而且資料解密後ERP系統直接可用。

2:如果勒索解密的是word excel等辦公文件型別的檔案並且資料檔案小於100M ,那麼透過上面手工修復的方式是行不通的,

但不代表離開駭客就沒有任何解密的可能。

駭客的加密程式也是程式,連微軟這麼大的軟體都會有這麼多漏洞,勒索病毒自然也會漏洞。我們完全可以利用駭客的漏洞把這些資料解密。當然這個不是都能行的通的。具體方法就不在這裡詳細說了,以免收到死亡威脅。

步驟5:謹慎聯絡駭客。

如果以上方法都成功修復資料,資料又確實很重要,那麼不妨聯絡下駭客。

駭客加密完資料之後都會在電腦上留勒索信,通常你發現伺服器不能用之後,第一個出現在電腦螢幕上的就是勒索信。勒索信形式各式各樣,但一般都以 TXT 或者 HTML或者是EXE檔案格式存在。在每一個被加密的資料夾目錄裡面都會有一封勒索信。勒索信如下圖

中了勒索病毒怎麼辦---(教程貼持續更新)

可以根據駭客留的勒索信聯絡駭客,但請不要傻乎乎直接發郵件過去

並非所有的駭客都遵守信用,並非拿到解密程式就可以順利解密。駭客只接受比特幣付款,虛擬貨幣是不記名的,你根本不知道錢付給了誰。而且無法追回比特幣。

在我們以往接觸的案例中,有客戶付款後沒有解密的,也有付款後被二次索要費用的,也有付款後成功解密的。在發郵件之前你最好做好充足的功課。有一些絕妙的操作方法我們無法公佈在網際網路中,因為不止你會看到我們的帖子,駭客也會看到。如果需要協助可以私信聯絡我們或者透過郵件聯絡我們。

步驟6:找準中毒原因,修復薄弱環節,避免二次中毒。

我強烈建議企業找專業的安全團隊進行溯源分析。如果不想花費這個費用並且你自己具備鑽研精神,那就從以下幾個思路入手。

1。從各類網路裝置的日誌中查詢異常(防火牆日誌);

2。從伺服器作業系統安全日誌查詢異常;(windows安全日誌,下圖中日誌被駭客清空了)

3。從客戶端作業系統查詢異常;(客戶端異常登入日誌)

4:利用網路上免費的病毒溯源工具查詢異常。

時間允許的花我後續會專門寫一篇詳細溯源教程配合工具使用方法,

步驟7:格式化中毒的伺服器並重裝系統。

強烈建議不要用GHOST版本系統安裝。GHOST版本系統有非常多的系統漏洞和預裝軟體的後門。如果企業單位批次電腦,建議自己動手做一個乾淨的母盤進行安裝。個人電腦也建議用純淨版一步步安裝。

注意!!!!!!!!!! 注意!!!!!!!!!注意!!!!!!!!!!!!

安全防護絕對不是買一套防火牆或者裝幾套防毒軟體就能解決問題的。

任意一個新的勒索病毒的變種就可以躲開幾乎所有的防毒軟體和防火牆。這也是為什麼各大廠商的防毒軟體和防火牆都在持續不斷的更新自己的病毒庫的原因,因為只有安全人員捕獲了病毒特徵才有機會識別並殺掉病毒。這意味著肯定得有一部分人要先中毒犧牲掉自己,才能引起各大殺軟和防火牆公司的注意。